DDOS saldırıları çok popüler, Amplification en tercih edileni

DDOS Saldırısı
Saldırganlar, günümüzde DDOS (Distributed Denial of Service) saldırılarında çok tecrübeli hale geldiler. Hem Türkiye’de hem de yurtdışında birçok önemli websitesi gerçekleştirilen DDOS saldırıları yüzünden ciddi servis kesintilerine uğradı. Geçtiğimiz sene Spamhaus websitesine yapılan 300 Gpbs ‘lik DDos saldırısının ardından bu sene CDN ve DDOS koruma hizmeti veren CloudFlare 400 Gbps’lik dev bir saldırıyla sarsıldı.

Normal DDOS saldırılarında saldırgan hedef sunucuya çok sayıda paketi göndererek sistemi yavaşlatıp en sonunda cevap verememesini sağlıyor. Amplification saldırılarında ise saldırgan, yüksek bant genişliğine sahip aracı sistemler kullanarak kendi bant genişliği az olsa da bu sistemler sayesinde hedef sistemin kaldıramayacağı bant genişliğinde bir trafik göndererek hedef sistemin servisinin kesilmesine neden olur.

Amplification: amplifikasyon, yükseltme, güçlendirme, çoğaltma  anlamına gelmektedir.

Akamai ‘nin Prolexic Güvenlik Mühendisliği Ekibi (PLXsert), geçtiğimiz günlerde blog sayfalarına, bir tavsiye yazısı gönderdi. Yazıda, ağ cihazlarının SNMP (Simple Network Management Protocol) arabirimlerini kötüye kullanarak yapılan DDOS saldırılarında geçtiğimiz ay ciddi bir  artış olduğundan bahsediyor.

Simple Network Management Protocol (SNMP), UDP tabanlı genelde network cihazlarını yönetmek için kullanılan bir protokol. SNMP ağa bağlı birçok cihazda kullanılabilir. SNMPden alınan bilgilerle bu cihazlar (router’lar, switch’ler, firewall’lar vb.) monitor edilebilir ve belli kosullarda alarmlar üretilebilir.
Snmp servisi açık bir cihaza küçük bir istek gönderdiğinizde, cevabı oldukça büyük boyutlu dönebilir.ddos saldırısıDNS amplification saldırılarında örneğin saldırgan birçok robotu devreye sokarak halka açık DNS sunucularına dns sorgusu gönderir, ip adresini spoof ederek dönen cevabın, saldırdığı sistemin (örneğin bir websitesinin) ip adresine gitmesini sağlar. Böylece milyonlarca dns sorgusunun cevabı sanki bu sorguları hedef sistem yapıyormuş gibi gibi hedef sisteme gelir. Gelen cevaplar yüksek boyutlu dns cevaplarıdır, normal bir dns sorgusu 1 kb seviyelerindeyken, saldırgan tüm kayıtlara ait (A,NS,cname, spf vd.) sorguları istediği için tüm bunlara ait dönen sorguların cevaplari 512 kb – 1 Mb ‘ta kadar yükselebilir. DNS sorgularının cevapları hedef sisteme yansıltıldığı için bu saldırıya DNS Reflection DDOS saldırısı da denilmektedir.

Sadece geçtiğimiz ay araştırmacılar SNMP Amplification metodu kullanılarak yapılan DDOS saldırıları sayısının 14 olduğuna dikkat çekiyorlar. Saldırılar farklı farklı sektörlere gerçekleştiriliyor. Satış siteleri, oyun siteleri, sunucu barındırma firmaları, servis olarak sunulan yazılım firmaları bunlar arasında.

Hacker ‘ların yeni favori saldırı metodu SNMP Amplification DDOS:
DDOS saldırıları zamanla popülerleşip daha komplike hale gelmeye başladı. Hacker’lar internetten hizmet veren herhangi bir sisteme saldırmak için yaygn bir şekilde bu saldırı metodlarını kullanıyorlar.

Akamai başkan yardımcısı  ve Güvenlik Biriminin yöneticisi Stuart Scholly bunla ilgili şöyle diyor;

“SNMP gibi spesifik bir protokolün yansıtma (protocol reflection) saldırılarının kullanımı zaman zaman patlak veriyor. Yeni çıkan SNMP reflection araçları da bu saldırıları besliyor.”

Bu Saldırı  yöntemi, SNMP versiyonu eski olan cihazları kullanıyor, SNMP versiyon 2 ‘de öntanımlı public olarak internete açık gelmekte. Eğer manuel olarak kapatılmadıysa. Son sürüm SNMP versiyon 3, çok daha gelişmiş ve güvenli bir yönetim protokolü sağlıyor.
Saldırganlar olukça etkili ddos programlarıyla snmp v2 cihazlarına GetBulk isteği gönderiyor, network’teki snmp v2 çalışan çok sayıda cihaz database’lerindeki tüm veriyi aynı anda  hedef sisteme gönderiyor ve hedef sistemin tüm kaynaklarını tüketiyor.
Network yöneticileri, çalıştıkları ortamlarda, SNMP v2 cihazlarını daha güvenli hale getirmeleri gerekiyor. Böylece saldırganların bu cihazları tespit edip saldırılarında kullanmalarının önüne geçilmiş olunabilir.
DDOS saldırıları geçtiğimiz seneden beri oldukça popüler hale geldi. UDP protokolündeki zayıflıkları kullanarak gerçekleştirilen Amplification saldırıları hacker’ların en gözde saldırı tipiydi. UDP protokolü de bilindiği gibi, alan adlarının çözülmesi için kullanılan DNS (Doman Name System), zaman senkronizasyonunun sağlanması için kullanılan NTP (Network Time Protokol), ile kullanılıyor, şimdi saldırganlar buna bir yenisini eklediler: SNMP.
Türkiye’de Durum Nasıl:
Türkiye’de bundan korunmak için Servis Sağlayıcı bazında alınabilecek önlemler var. Örneğin Superonline bu tip saldırlardan müşterilerini korumak için Arbor kullanıyorlar.  Web sitenizi SOL datacenter’larında host ediyorsanız  örneğin 10 Mbps ‘lik DDOS koruması satın alabilirsiniz. Ancak saldırı 40 Gbps gelirse yine de bu saldırıdan etkilenmiş olursunuz.